Eine Anleitung zum WPA3 WiFi-Standard

Wir alle nutzen WiFi die ganze Zeit. Es gibt mehr WiFi-Geräte als Menschen. Auf diese Weise stellen die meisten von uns eine Verbindung zum Internet her und ein Großteil dieser Internetaktivitäten beinhaltet die Übermittlung hochsensibler und persönlicher Daten.

Es ist daher schade, dass WPA2, der Standard zum Schutz von Daten, die über Funkwellen zwischen Ihrem Gerät und dem Router übertragen werden, der es mit dem Internet verbindet, vollständig defekt ist.

Ein im Oktober letzten Jahres veröffentlichtes Whitepaper hat gezeigt, dass jede WPA2-Verbindung unsicher ist. Dank der KRACK-Sicherheitslücke können alle unverschlüsselten Daten, die über WLAN auf nahezu jedem der 9 Milliarden WLAN-Geräte der Welt gesendet werden, leicht von Hackern beschnüffelt werden.

Und zu der Zeit war es vielleicht am beunruhigendsten, dass es nichts gab, was es ersetzen konnte...

WPA3

Es ist daher nicht verwunderlich, dass die Wi-Fi Alliance kürzlich den Start von WPA2s Nachfolger WPA3 angekündigt hat. Es behebt nicht nur die KRACK-Sicherheitslücke, sondern behebt auch viele andere Probleme mit der WiFi-Sicherheit im Allgemeinen, die seit der Einführung von WPA2 im Jahr 2004 immer deutlicher geworden sind.

WPA3

WPA3 gibt es in zwei Versionen: WPA-Personal und WPA-Enterprise.

WPA3-Personal

KRACK repariert

Der WPA2-Standard hat schon seit geraumer Zeit geknackt, aber die Entdeckung der Sicherheitslücke KRACK (Key Reinstallation Attack) hat die WiFi Alliance dazu veranlasst, einen neuen Standard einzuführen, der die WiFi-Sicherheit überarbeitet.

KRACK nutzt einen Fehler im Vier-Wege-Handshake, der zum Sichern von WPA2-Verbindungen zu Routern verwendet wird, unabhängig von der verwendeten Plattform oder dem verwendeten Gerät.

Krack

WPA3 behebt dies, indem stattdessen ein SAE-Handshake (Simultaneous Authentication of Equals) verwendet wird. Diese Variante des Dragonfy-Schlüsselaustauschprotokolls ersetzt die Verwendung eines vorinstallierten Schlüssels (Pre-Shared Key, PSK) in WPA2, und ein veröffentlichter Sicherheitsnachweis zeigt an, dass er sehr sicher ist.

Bessere Passwortsicherheit

Bei der Überarbeitung der WiFi-Sicherheit versucht die WiFi Alliance auch, uns vor uns selbst zu schützen. Das größte Sicherheitsproblem bei WiFi besteht darin, dass die meisten Benutzer sehr schwache und leicht zu erratende Kennwörter verwenden.

Und selbst wenn Sie Ihr Passwort geändert haben, kann ein Angreifer mit WPA2 unbegrenzt raten. Auf diese Weise können sie einen Wörterbuchangriff ausführen, bei dem Tausende gängiger Kennwörter pro Minute auf Ihren Router geworfen werden, bis der richtige gefunden wird.

WPA3 schützt auf zwei Arten vor Kennwortangriffen. Der Handshake Gleichzeitige Authentifizierung verhindert Wörterbuchangriffe, indem verhindert wird, dass ein Angreifer mehr als eine Vermutung des Kennworts pro Angriff vornimmt. Jedes Mal, wenn ein falsches Passwort eingegeben wird, muss eine erneute Verbindung zum Netzwerk hergestellt werden, um eine neue Vermutung anzustellen.

Die natürliche Passwortauswahl ist eine weitere neue Funktion. Es wird behauptet, dass dies Benutzern dabei hilft, sichere, aber leicht zu merkende Kennwörter auszuwählen.

Geheimhaltung weiterleiten

Forward Secrecy bedeutet, dass jedes Mal, wenn eine WPA3-Verbindung hergestellt wird, ein neuer Satz von Verschlüsselungsschlüsseln generiert wird. Wenn ein Angreifer jemals das Passwort Ihres Routers kompromittieren sollte, kann er nicht auf bereits übertragene Daten zugreifen, da diese durch verschiedene Schlüsselsätze geschützt sind.

WPA3-Enterprise

Wie der Name schon sagt, möchte WP3-Enterprise Unternehmen, Regierungen und Finanzinstituten noch mehr Sicherheit bieten.

Die Daten werden mit einer 256-Bit-GCMP-256-Verschlüsselung (Galois / Counter Mode Protocol) geschützt, die einen 384-Bit-ECDH- oder ECDSA-Schlüsselaustausch mit HMAC SHA385-Hash-Authentifizierung verwendet. Protected Management Frames (PMF) werden mit dem 256-Bit-Broadcast- / Multicast-Integritätsprotokoll Galois Message Authentication Code (BIP-GMAC-256) gesichert..

Interessanterweise beschreibt die WiFi Alliance diese Reihe von Verschlüsselungsalgorithmen als "das Äquivalent von 192-Bit-Verschlüsselungsstärke".

Kritikpunkte

Mathy Vanhoef ist der PHD-Forscher an der KU Leuven, der die KRACK-Schwachstelle in WPA2 entdeckt hat. In einem kürzlich veröffentlichten Blog-Beitrag beschrieb er WPA3 als verpasste Gelegenheit.

WPA3 ist als solches kein Standard. Es ist ein Zertifizierungsprogramm. Wenn ein Produkt die für WPA3 festgelegten Standards unterstützt und korrekt implementiert, wird es von der WiFi Alliance als Wi-Fi CERTIFIED WPA3 ™ zertifiziert.

Als WPA3 zum ersten Mal angekündigt wurde, wurde vorgeschlagen, dass es 4 wichtige Standards enthalten würde:

  1. Der Libellen-Händedruck (SAE)
  2. Wi-Fi Easy Connect, eine Funktion, die bekannte Schwachstellen im aktuellen Wi-Fi Protected Setup behebt
  3. Wi-Fi Enhanced Open soll die Verwendung öffentlicher WLAN-Hotspots sicherer machen, indem beim Herstellen einer Verbindung zu einem offenen Hotspot eine nicht authentifizierte Verschlüsselung bereitgestellt wird
  4. Dies würde die Größe des Sitzungsverschlüsselungsschlüssels erhöhen.

In seiner endgültigen Form werden jedoch die Standards 2 bis 4 für die Verwendung in WPA3-Geräten empfohlen, sind jedoch nicht erforderlich. Um die offizielle Wi-Fi CERTIFIED WPA3 ™ -Zertifizierung zu erhalten, müssen Hersteller nur einen Simultaneous Authentication of Equals-Handshake implementieren.

Die Standards Wi-Fi Easy Connect und Wi-Fi Enhanced Open erhalten jeweils eine separate Zertifizierung von der WiFi Alliance, während eine höhere Sitzungsschlüsselgröße nur für die WPA3-Enterprise-Zertifizierung erforderlich ist.

„Ich befürchte, dass dies in der Praxis bedeutet, dass die Hersteller den neuen Handshake einfach implementieren, ein WPA3-zertifiziertes Etikett darauf kleben und damit fertig sind gibt keinerlei Garantie dafür, dass diese beiden Funktionen unterstützt werden. “

Aus Gründen der Fairness gegenüber der WiFi Alliance wurde die Entscheidung wahrscheinlich getroffen, um WiFi-Hersteller zu ermutigen, den Standard so schnell wie möglich zu übernehmen, indem die Implementierung für sie weniger anstrengend wird.

Es besteht auch eine gute Chance, dass Hersteller freiwillig die Standards Wi-Fi Easy Connect und Wi-Fi Enhanced Open in ihre WPA3-Produkte aufnehmen.

Also, was kommt als nächstes??

Die WiFi Alliance geht davon aus, dass WPA3-Produkte nicht vor Ende des Jahres erhältlich sein werden, und rechnet frühestens Ende 2020 mit einer umfassenden Implementierung.

Theoretisch können die meisten WiFi-Produkte über Software-Patches auf WPA3 aktualisiert werden. Es ist jedoch unwahrscheinlich, dass viele Hersteller Ressourcen für die Entwicklung solcher Patches für vorhandene Produkte aufwenden, die stattdessen für die Entwicklung neuer Produkte für den Markt aufgewendet werden könnten.

Dies gilt nicht für alle Unternehmen. Der Routerhersteller Linksys hat beispielsweise seine Zusage bestätigt, WPA3-Firmware-Updates für „Legacy-Produkte“ zu veröffentlichen.

In den meisten Fällen bedeutet ein Upgrade auf WPA3 jedoch, dass Sie Ihren Router und alle Ihre WLAN-Geräte wegwerfen und durch neue WPA3-Geräte ersetzen müssen. Angesichts der Tatsache, dass es derzeit rund 9 Milliarden WiFi-fähige Geräte auf der Welt gibt, wird dies nicht über Nacht geschehen.

Es wird daher wahrscheinlich Jahre dauern, bis sich das WiFi-Ökosystem zu einem Punkt entwickelt hat, an dem WPA3 als allgegenwärtig angesehen werden könnte. und bis dahin brauchen wir natürlich dringend einen neuen WPA4-Standard!

WPA3 ist abwärtskompatibel

Da WPA2 sehr unsicher ist, sollte wirklich jeder so schnell wie möglich auf WPA3 upgraden. Realistisch gesehen werden die meisten Leute jedoch nicht nur ihre teure vorhandene Ausrüstung wegwerfen.

Es ist daher nützlich, dass WPA3 abwärtskompatibel ist. WPA3-Router akzeptieren Verbindungen von älteren (WPA2) Geräten, und WPA3-Geräte können Verbindungen zu älteren Routern herstellen. Sofern Router und Gerät nicht WPA3-fähig sind, profitiert die Verbindung nicht von der verbesserten Sicherheit, die der neue Standard bietet.

Bis Sie vollständig WPA3-konform sind, empfehlen wir Ihnen dringend, die KRACK-Sicherheitsanfälligkeit zu verringern, indem Sie auf allen Ihren WPA2-Geräten (nicht auf dem Router selbst) eine VPN-Verbindung herstellen..

Ähnlich wie ein VPN Sie bei der Verwendung eines öffentlichen WLAN-Hotspots schützt, wird dadurch sichergestellt, dass alle Daten, die zwischen Ihrem Gerät und dem Router übertragen werden, sicher verschlüsselt und somit vor KRACK-Angriffen geschützt sind.

Wenn Sie darauf achten, nur HTTPS-Websites zu besuchen, wird das Problem ebenfalls gemildert, Sie müssen jedoch stets wachsam sein. Desktop-Systeme können über ein Ethernet-Kabel mit Ihrem Router verbunden werden, wodurch sie gegen KRACK-Angriffe immun sind.

Fazit

WPA2 ist defekt, daher kann WPA3 nicht früh genug kommen - und Sie sollten es so bald wie möglich übernehmen. Es ist eine Schande, dass der vollständige ursprüngliche Satz von WPA3-Standards nicht den endgültigen Abschluss gebracht hat. Wenn dies jedoch zu einer schnelleren allgemeinen Übernahme von WPA3 führt, kann die Entscheidung bestätigt werden.

Die Hersteller können sich dennoch dafür entscheiden, die Standards Wi-Fi Easy Connect und Wi-Fi Enhanced Open in ihre WPA3-Produkte aufzunehmen.

In der Zwischenzeit sollten Sie sich darüber im Klaren sein, wie unsicher Ihre vorhandenen WiFi-Verbindungen sind, und Schritte unternehmen, um das Problem zu beheben.

Bildnachweis: Von BeeBright / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me